صور: https://img-cdn.gateio.im/social/moments-f95a449a66-9f1e47987c-8b7abd-ceda62
كشفت جوجل عن أن حزمة Coruna لنظام iOS تحتوي على 23 ثغرة أمنية، وتدخل السوق السوداء من أدوات المراقبة الوطنية، وتستهدف أصول التشفير على iPhone وتسرق المفاتيح الخاصة بدون نقرة.
من أدوات المراقبة الوطنية إلى “آلات حصاد الأصول”
وفقًا لتقرير عميق أصدرته مجموعة معلومات التهديدات من جوجل (GTIG)، فإن حزمة الثغرات لنظام iOS المسماة Coruna (المعروفة أيضًا باسم CryptoWaters) تشكل تهديدًا خطيرًا لمستخدمي iPhone حول العالم. مسار تطور هذه الأداة درامي للغاية، عندما تم اكتشافها لأول مرة في فبراير 2025، كانت تقدمها شركات مراقبة خاصة للعملاء الحكوميين، وتستهدف بشكل دقيق الشخصيات السياسية والمعارضين. وفي صيف 2025، سيطر عليها مجموعة هاكرز مرتبطة بالحكومة الروسية تُدعى UNC6353، واستخدمتها في أنشطة تجسس جيوسياسية ضد مواطني أوكرانيا.
صور: https://img-cdn.gateio.im/social/moments-0c108c41ba-34c500ecce-8b7abd-ceda62
المصدر: خط زمني لاكتشاف Coruna من جوجل
مع انتشار التقنية، دخلت هذه الأداة الاحترافية التي كلفت ملايين الدولارات السوق الإجرامية عبر الإنترنت رسميًا. بحلول نهاية 2025 وبداية 2026، حصلت مجموعة هاكرز صينية تُدعى UNC6691 على التقنية، ووجهت هجماتها نحو نهب الأصول الرقمية. هذا يمثل تحول أدوات التجسس عالية المستوى إلى سلع تجارية، حيث انتقلت من جمع المعلومات المستهدف إلى نهب ثروات عامة من حاملي العملات المشفرة. أشار الباحثون إلى أن رغبة الهاكرز في استثمار تكاليف تقنية عالية تظهر أن الأرباح الضخمة من الأصول المشفرة تدفع التخصصات التقنية إلى الاتجاه الإجرامي المالي.
سلسلة من 23 ثغرة: تسلل صامت خلف “بركة المياه”
تمتلك حزمة Coruna مستوى عاليًا من الأتمتة والسرية، حيث تتضمن 23 ثغرة مستقلة وتكوّن خمس سلاسل هجوم كاملة. وتشمل نطاق تأثيرها جميع أجهزة iPhone و iPad التي تعمل بنظام iOS من الإصدار 13.0 حتى 17.2.1. وتستخدم الهاكرز هجمات “بركة المياه” (Watering Hole Attack)، عبر اختراق أو إنشاء مواقع مزيفة لتبادل العملات المشفرة والمواقع المالية لجذب الضحايا. هذه المواقع، مثل منصة WEEX المزيفة، تظهر بشكل مشابه جدًا للمواقع الرسمية، وتستخدم تحسين محركات البحث والإعلانات المدفوعة لزيادة الظهور.
صور: https://img-cdn.gateio.im/social/moments-57d9e41150-36eac011d2-8b7abd-ceda62
المصدر: منصة WEEX المزيفة التي أنشأتها جوجل
عندما يزور مستخدمو iPhone هذه المواقع الملوثة، يتم تنفيذ سكربت خلفي على الفور للتعرف على الجهاز. يتحقق النظام بصمت من إصدار iOS، وإذا كان ضمن نطاق الهجوم، يتم تفعيل ثغرة بدون نقرة (Zero-click)، دون حاجة المستخدم لأي تفاعل أو ضغط على روابط. بعض المواقع المزيفة حتى تروج لنفسها من خلال إظهار رسائل تحث المستخدمين على تصفحها باستخدام أجهزة iOS، مدعية أنها توفر تجربة أفضل، لكن الهدف الحقيقي هو استهداف الأجهزة التي لم يتم تحديثها بعد.
حتى لقطات الشاشة في ألبوم الصور لا تنجو
بمجرد أن ينجح Coruna في الحصول على صلاحيات الجهاز، يتم تشغيل البرنامج الخبيث PlasmaLoader، الذي يبدأ في جرد الأصول الرقمية للمستخدم. يتمتع هذا البرنامج بقدرة عالية على المسح، حيث يبحث بشكل نشط عن كلمات رئيسية مثل “backup phrase” أو “bank account” أو “seed phrase”، ويستخرج البيانات الحساسة من الرسائل النصية والملاحظات. كما يمتلك القدرة على التعرف على الصور تلقائيًا، حيث يقوم بمسح لقطات الشاشة في ألبوم الصور للبحث عن رموز QR التي تحتوي على كلمات المرور أو المفاتيح الخاصة بالمحفظة.
بالإضافة إلى جمع البيانات الثابتة، يستهدف Coruna تطبيقات المحافظ المشهورة مثل MetaMask و Uniswap، محاولًا استخراج المعلومات الحساسة والسيطرة الكاملة على المحافظ. وفي العديد من الحالات المعروفة، يتم تحويل الأموال بسرعة بعد زيارة المواقع المزيفة. وبما أن الهجوم يستهدف صلاحيات النظام الأساسية، فإن أي أثر رقمي للمفتاح الخاص على الهاتف لا ينجو من أدوات التجسس هذه.
صور: https://img-cdn.gateio.im/social/moments-23b8865890-bcc8b3d246-8b7abd-ceda62
المصدر: جوجل تعرض جميع التطبيقات المحتملة التي يمكن أن تتعرض للهجمات الخبيثة
قواعد الدفاع ودليل البقاء؟ التحديث هو مفتاح الأمان
لمواجهة تهديدات عالية الدقة، يجب على مستخدمي iPhone اتخاذ إجراءات حماية واضحة. وأشارت تقارير جوجل إلى أن Coruna غير فعال على نظام iOS 17.3 أو أعلى. على الرغم من أن النظام قد تم تحديثه إلى إصدارات أعلى، إلا أن بعض المستخدمين لا يزالون يستخدمون أجهزة قديمة أو يعانون من نقص المساحة، مما يعرضهم للخطر. بالنسبة للأجهزة القديمة التي لا يمكن تحديثها، فإن تفعيل وضع القفل (Lockdown Mode) الذي توفره شركة أبل هو وسيلة فعالة للرد، حيث يتوقف البرنامج الخبيث عن العمل فور اكتشافه لهذا الوضع لتجنب التتبع.
ينصح خبراء الأمن السيبراني مالكي العملات المشفرة باتباع قواعد أساسية للبقاء على قيد الحياة. وأهم وسيلة حماية هي استخدام محافظ أجهزة مثل Ledger أو Trezor، بحيث تظل المفاتيح الخاصة دائمًا غير متصلة بالإنترنت ولا تتصل ببيئة iOS. ثانيًا، يجب حذف جميع لقطات الشاشة التي تحتوي على كلمات المرور أو المفاتيح الخاصة من الألبوم، والاعتماد على نسخ احتياطية مادية غير متصلة بالإنترنت.
على الرغم من أن Coruna تتجنب وضع التصفح الخاص لتقليل احتمالية الاكتشاف، إلا أن ذلك يظل إجراء مؤقتًا. مع ارتفاع قيمة الأصول الرقمية يومًا بعد يوم، فإن الحفاظ على تحديث البرامج واليقظة الأمنية أصبحا واجبًا أساسيًا لكل مستثمر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
احتواء استغلال بروتوكول SWEAT واستعادة أرصدة المستخدمين
نجح بروتوكول SWEAT في احتواء استغلال بقيمة عدة ملايين من الدولارات يوم الأربعاء حوالي الساعة 13:36 بالتوقيت العالمي المنسق، حيث أكد الفريق أنه تم استعادة جميع أرصدة الحسابات الخارجية بالكامل وأن العمليات عادت إلى وضعها الطبيعي، وفقاً لملخص ما بعد الاختراق الذي شاركه فريق SWEAT على
CryptoFrontierمنذ 11 د
تحذير شركة مان وو: ثغرة فشل نسخ Linux قابلة للاستغلال بسهولة شديدة، يُنصح بالترقية إلى النواة بأسرع وقت ممكن
ذكر كبير مسؤولي أمن المعلومات في شركة بطيئة الضباب (SlowMist)، 23pds، في 30 أبريل/نيسان على منصة X، أنه تم العثور على ثغرة منطقية في أنظمة Linux باسم "Copy Fail" (CVE-2026-31431)، وهي شديدة السهولة للاستغلال، وقد أوصت بطيئة الضباب المستخدمين بالترقية بسرعة إلى النواة.
MarketWhisperمنذ 3 س
تعرضت شركة Aftermath Finance لهجوم وخسرت 1.14 مليون، وتدعم Mysten Labs تعويض المستخدمين بالكامل
استناداً إلى التحليل التقني لحدث الهجوم الذي نشرته GoPlus في 30 أبريل وإلى البيان الرسمي الصادر عن Aftermath Finance، تعرضت منصة عقود الفرق الدائمة على سلسلة Sui التابعة لـ Aftermath Finance لهجوم في 29 أبريل، ما أسفر عن خسائر تجاوزت 1.14 مليون دولار. وأعلن فريق المشروع أنه، بدعم من Mysten Labs ومؤسسة Sui، سيحصل جميع المستخدمين على تعويض كامل.
MarketWhisperمنذ 4 س
Aftermath Finance 在 4 月 29 日遭攻击损失超 114 万美元,承诺对用户进行全额补偿
据 PANews 报道,Sui 区块链上的永续期货平台 Aftermath Finance 于 4 月 29 日遭受攻击,损失超过 114 万美元。GoPlus 分析显示,攻击者通过 add_integrator_config 函数窃取 ADMIN 权限,在 calculate_taker_fees 函数中利用了符号不匹配漏洞,从而反复提取代币。该
GateNewsمنذ 5 س
تم سرقة 13.71 مليار من توكنات بروتوكول SWEAT، واستُؤنفت العقود الموقوفة بعد ذلك لاستعادة أموال المستخدمين بالكامل
وفقًا للتقرير اللاحق المنشور بعد هجوم بروتوكول SWEAT، تم استرداد بالكامل أموال المستخدمين التي تم الاستيلاء عليها في حادثة اختراق وقعت يوم الأربعاء، وعاد تشغيل البروتوكول إلى طبيعته. تقدر شركة أمن التشفير Blockaid أن المهاجمين سرقوا حوالي 137.1 مليار من رموز SWEAT؛ وعلى الفور، قام فريق SWEAT بإيقاف عقد الرموز مؤقتًا، وتواصل مع البورصات ومزود السيولة Rhea Finance، وفي النهاية تم استعادة جميع أرصدة حسابات المستخدمين.
MarketWhisperمنذ 5 س
